一、基本情况

TeamViewer疑似遭遇APT组织攻击，黑客组织APT41破坏了TeamViewer背后的公司，使他们能够访问安装了TeamViewer的任何系统。

      二、攻击原理

该事件中，恶意软件启动TeamViewer后，其会获取TeamViewer窗口的用户ID（leon）以及密码（vivi），并将主机名+ “|” + 用户名（well），以及固定的一串VPD开头的值(vip)，构造成数据包的主要内容。当攻击者获取到受害者的TeamViewer账号和密码后，其就会进行回连以便控制受害者电脑并进行进一步操作。

      三、影响范围

安装了TeamViewer的任何系统

      四、处置建议

1) 自查方式 (以TeamViewer 14为例)

（1）在TeamViewer安装目录中（默认：C:\program Files(x86)\TeamViewer）  下打开TeamViewer14_Logfile文件；

（2）在记事本中，点击“编辑”-“查找”，输入关键字“Writefile"（区分大小写）查看是否存在文件传输操作；

（3）打开TeamViewer14_Logfile_OLD.log文件，重复步骤（2）操作。

如果上述过程中发现存在相应关键字的内容，且相应时间节点本人未进行上述操作，请立即卸载。

2) 处置方式

在官方确认清除后门前，为保证安全，建议暂时卸载TeamViewer软件。

      五、参考链接

1) https://mp.weixin.qq.com/s/rZIbOynGCvwy7cnsL_kaKg